Von: Dr. André Zehl
Mit Mobile IP hat die Internet Engineering Task Force eine erweiterte Version des Internetprotokolls (IP) erarbeitet, die für portable Geräte gedacht ist, die an unterschiedlichen Punkten an ein IP-Netz angeschlossen werden. Das sind beispielsweise Notebooks mit Funk-LAN-Adaptern, über die Mitarbeiter von unterschiedlichen Orten innerhalb eines Unternehmens aus auf ein lokales Netz zugreifen. Ein weiteres Einsatzgebiet sind Krankenhäuser. Dort dienen mobile Geräte dazu, vor Ort die Daten von Patienten abzurufen oder zu bearbeiten.
Die Schnittstelle zum kabelgestützten LAN sind Access Points, die sich in unterschiedlichen IP-Subnetzen befinden können. Allerdings lässt sich Mobile IP auch im kabelgestützten LAN einsetzen, beispielsweise wenn ein Mitarbeiter mehrere Arbeitsstationen nutzt und sich unter derselben IP-Adresse in das Firmennetz einklinkt.
Wie Mobile IP funktioniert
IP-Adressen erfüllen zwei Aufgaben: Sie dienen zum einen dazu, IP-Pakete weiterzuleiten (Forwarding). Dazu wird der "Netzwerkteil" der Adresse ausgewertet. Zum anderen kennzeichnen sie ein Endgerät in einem Netz. Eine TCP-Verbindung zu einem Gerät, die über Mobile IP hergestellt wurde, soll auch dann weiterbestehen, wenn das mobile System in ein anderes IP-Netz wechselt. Das ist etwa beim Übergang zwischen zwei Zugangspunkten eines Funk-LANs der Fall, die im selben Gebäude liegen, jedoch unterschiedlichen IP-Subnetzen angehören. Um diese Terminal-Mobilität auf IP-Ebene sicherzustellen, musste IP um Funktionen eines Netzwerkprotokolls erweitert werden. Bereits 1996 stellte die IETF eine solche Lösung für IPv4 vor: Mobile IPv4 (RFC 2002).
Ein mobiles Endgerät, also ein Mobile Node, ist normalerweise in einem Home Network (Heimatnetz) angesiedelt und hat eine entsprechende Heimat-IP-Adresse (Home Address). Hält sich ein Mobilsystem im Heimatnetz auf, teilt es das einem Home Agent mit. Wechselt es in ein anderes Netz (Foreign Network), meldet er sich dort bei einem Foreign Agent an. Das kann beispielsweise ein lokaler Router sein.
Hat sich der Mobile Node beim Foreign Agent registriert, teilt er dem Home Agent in seinem Heimatnetz seine "Care-of-Adresse" mit, unter der er im fremden Netz zu erreichen ist. Die Care-of-Adresse ist meist die IP-Adresse desjenigen Foreign Agent, der die eingehenden Pakete an den mobilen Knoten weiterreicht.
Kommunikation durch Tunnel
Bei Mobile IP läuft die Kommunikation folgendermaßen (Bild 1):
- (1) Ein Server X sendet Daten an den Mobile Node A. Diese werden in das Home Network von A übertragen.
- (2) Im Heimatnetz fängt der Home Agent die Daten für A ab, packt sie als Nutzlast in neue IP-Pakete und trägt als Ziel die Care-of-Adresse des Mobile Node A ein. Dieses Verfahren heißt "Tunneling".
- (3) Der Foreign Agent im Fremdnetz empfängt die IP-Pakete, packt die Nutzlast aus und schickt diese über den Link-Layer zum Mobile Node.
- (4) Will der Mobile Node A Daten an den Server X senden, kann er das direkt aus dem Fremdnetz heraus tun. Er versieht dazu die IP-Pakete mit der Zieladresse von X und der Adresse, die er im Home Network besitzt.
- (5) Das IP-Paket wird über das Internet zum Server X übertragen.
Das Mobile-IP-Protokoll besteht aus drei Hauptkomponenten: Agent Discovery, dem Registriervorgang und dem Tunneling. Mithilfe der Agent Discovery stellt ein Mobilgerät fest, in welchem Netz es sich gerade befindet. Es nutzt dazu die ICMP-Agent-Advertisement-Nachrichten, die Heimat- oder mobile Agenten versenden. Ein Agent Advertisement enthält Informationen darüber, ob ein Agent als Foreign oder Home Agent zur Verfügung steht, ob sich der mobile Knoten beim Agenten registrieren muss, welche Tunneling-Verfahren der Agent unterstützt und welche Care-of-Adresse für diesen Foreign Agent verwendet werden soll.
Allerdings kann es vorkommen, dass der Mobile Node in einem Netzwerk landet, das keinen Foreign Agent unterstützt. Dann kann der Mobile Node selbst einspringen und eine Co-located-Care-of-Adresse verwenden, die direkt beim Mobile Node angesiedelt ist. Der Mobile-IP-Standard lässt offen, auf welche Weise ein Mobile Node seine Care-of-Adresse erhält - ob dynamisch über einen DHCP-Server oder über eine fest zugewiesene Adresse für die Zeit seines Aufenthalts im Fremdnetz zugewiesen bekommt.
Nach dem Discovery-Prozess registriert sich der Mobile Node in einem fremden Netz beim Foreign Agent. Der leitet die Registrierung an den Home Agent weiter. Die Nachricht enthält unter anderem die Heimatadresse des mobilen Knotens, die Adresse des Home Agent des Mobile Node sowie dessen Care-of-Adresse. Zudem gibt sie das Tunneling-Verfahren an.
Höhere Sicherheit durch Authentifizierung
Der mobile Knoten kann sich auch bei mehreren Foreign Agents gleichzeitig anmelden. Dann wird ein Paket an mehrere Care-of-Adressen gesendet, was die Ausfallsicherheit erhöht. Ferner lassen sich mit der Registrierungsnachricht auch Erweiterungen (Extensions) angeben. Die wichtigste ist die "Security Extension". Sie definiert einen "Security Context" zwischen zwei Knoten. Vorgeschrieben ist eine Authentifizierung zwischen dem Mobilknoten und dem Home Agent, optional hingegen eine "Security Association" zwischen dem Mobile Node und dem Foreign Agent sowie dem Foreign Agent und dem Home Agent.
Die Authentifizierung verhindert, dass sich ein Angreifer als Mobile Node ausgibt und den Datenstrom zu sich umleitet.
Hat sich ein Mobilknoten im Fremdnetz bei seinem Heimatagenten angemeldet, kann dieser IP-Pakete an ihn weiterleiten. Ähnlich wie bei der Postnachsendung werden die Daten an die Care-of-Adresse des mobilen Gerätes übermittelt. Zuvor nimmt der Heimagent die Pakete quasi als Treuhänder in Empfang. Ein Home Agent kann sich beispielsweise als Address-Resolution-Protocol-Proxy (ARP) für einen Mobilknoten ausgeben und die an diesen adressierten ARP-Requests beantworten. Bei einem anderen Verfahren filtert der Heimagent die Pakete für den Mobile Node. Dazu muss er jedoch die Verbindung zwischen dem Internet und dem Mobile Node überwachen können. Das ist etwa dann der Fall, wenn der Home Agent der Zugangsrouter zu einem Netzwerk ist.
Schwachpunkte von Mobile IPv4
Gegenwärtig kommt Mobile IP meist in Verbindung mit IPv4 zum Einsatz. Diese Kombination weist jedoch etliche Einschränkungen auf. So muss in jedem Subnetz eine Home- und Foreign-Agent-Infrastruktur vorhanden sein. Hinzu kommt, dass das Routing sich strikt auf die Zieladresse der IP-Pakete stützt. Es darf also kein Source-Routing erfolgen. Ferner dürfen in den Mobile-IP-Netzen keine Ingress- oder Reverse-Path-Forwarding-Filter konfiguriert sein, die verhindern, dass der Mobile Node im Fremdnetz Pakete mit der Quelladresse aus dem Heimatnetz verschicken kann. Auch das Tunneling von Paketen muss gestattet sein. Diese Faktoren haben bislang verhindert, dass Mobile IP auf breiter Basis eingesetzt wird.
Das soll nun mit der IP-Version 6 anders werden. Das Ziel von Mobile IPv6 ist das gleiche: Ein mobiler Knoten soll permanent unter seiner Heimatadresse zu erreichen sein. Der Mobile Node erhält auch bei Mobile IPv6 eine IP-Care-of-Adresse im Fremdnetz. Diese kann jedoch zusätzlich mithilfe von "Neighbor Discovery" ermittelt werden, wodurch sich die Unterstützung von Mobile IP deutlich vereinfacht. Im Foreign Network teilt der mobile Knoten wie bei IPv4 dem Home Agent im Heimatnetz seine Care-of-Adresse mit. Der Home Agent schickt die Pakete dann über einen Tunnel an die Care-of-Adresse des mobilen Knotens.
Der wesentliche Unterschied zu Mobile IPv4 liegt darin, dass der Mobile Node bei IPv6 der Gegenseite über eine spezielle Address-Binding-Option im "Destination Option Extension Header" seine neue Adresse mitteilen kann. Die Gegenseite hat damit die Möglichkeit, alle folgenden Pakete direkt an den mobilen Knoten weiterzuleiten. Das aufwändige und ineffiziente Dreiecks-Routing über den Home Agent bei Mobile IPv4 entfällt somit.
Bei IPv6 kann das mobile Geräte auch seine Care-of-Adresse als Absenderadresse verwenden. Dies beseitigt das Problem des Ingress Filtering bei Internet-Service-Providern. Der Home Agent und das Netzwerk insgesamt werden damit vom IP-Verkehr entlastet, und der Transport zwischen Mobile Node und anderen Rechnern im Netz erfolgt wegen des direkten Datenversands schneller. Ein weiteres Plus sind die besseren Sicherheitsmechanismen von IPv6.
Die IETF hat die Arbeiten an Mobile IPv6 noch nicht abgeschlossen. Auf dem 51. Treffen des Gremiums Anfang August in London diskutierten die Teilnehmer speziell über die Sicherheitsfunktionen von IPv6. Insgesamt ist der Mobile-IPv6-Internet-Draft jedoch stabil und dürfte in Kürze verabschiedet werden. (re)
Zur Person
Dr. André Zehl
ist in der "Service Line Systems Integration" von T-Systems bei Berkom in Berlin als Leiter der Abteilung IP-Technologien tätig.